Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » mer mar 07, 2012 11:25 pm

Salve,
di recente il mio antivirus Avira ha rilevato i trojan "Crypt.XPACK.Gen5"
e "Java.OpenConnection.AQ", per i quali ho sempre negato l'accesso, ma
oggi mi sono comparsi diversi messaggi di errore sul desktop in avvio:
Impossibile trovare i file: c:\documents, and, settings\all e user/rsvp.exe.
Il problema è che non riesco più a connettermi a internet.
Riporto il file log con Hijack se qualcuno può aiutarmi.
Grazie.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.46.24, on 01/01/2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\logman.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\denis\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\Documents and Settings\All Users\rsvp.exe
F3 - REG:win.ini: run=C:\WINDOWS\logman.exe
O4 - HKLM\..\Run: [DCOM] C:\Documents and Settings\denis\Dati applicazioni\Microsoft\dllhost.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [Task Scheduler] C:\WINDOWS\mstinit.exe
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System32\drivers\cisvc.exe
O4 - HKCU\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Sessmgr] C:\Documents and Settings\denis\Dati applicazioni\sessmgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\clipsrv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [cisvc] C:\Documents and Settings\denis\Dati applicazioni\cisvc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [lsm service] C:\WINDOWS\lsm.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [WinLogon] C:\WINDOWS\System\winlogon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System\logman.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Task Scheduler] C:\Documents and Settings\denis\Dati applicazioni\mstinit.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Microsoft RSVP] C:\WINDOWS\System\rsvp.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Csrss] C:\WINDOWS\System32\drivers\csrss.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spooler] C:\WINDOWS\System32\drivers\spoolsv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MessageService] C:\WINDOWS\System32\drivers\mqtgsvc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [EseNtUtl] C:\WINDOWS\esentutl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DCOM] C:\Documents and Settings\denis\Dati applicazioni\Microsoft\dllhost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Sessmgr] C:\Documents and Settings\All Users\sessmgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHost3g] C:\WINDOWS\System32\drivers\dllhst3g.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [WinInit] C:\WINDOWS\System\wininit.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Microsoft Connection Manager] C:\Documents and Settings\All Users\cmstp.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\clipsrv.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programmi\file comuni\pc tools\lsp\pctlsp.dll' missing
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Network Request Broker - Unknown owner - C:\Programmi\F-Secure\Common\FNRB32.EXE (file missing)
O23 - Service: fsbwsys - Unknown owner - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - C:\Programmi\F-Secure\Common\FSMA32.EXE (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Fetnd5bv (zebrsce) - Unknown owner - \\.\globalrootC:\WINDOWS\system32\svchost.exe (file missing)

--
End of file - 6607 bytes
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » gio mar 08, 2012 5:14 am

Iniziamo a pulire, non ti sei fatto mancare niente come virus e almeno uno è sicuramente attivo C:\WINDOWS\logman.exe.

Rifai la scansione con hijackthis e selezioni le caselle di queste righe, poi premi fix checked per eliminarle, controlla anche che i rispettivi exe indicati spariscano, se non se ne vanno puoi usare unlocker per eliminarli.
Non tutti potrebbero essere presenti.
F3 - REG:win.ini: load=C:\Documents and Settings\All Users\rsvp.exe
F3 - REG:win.ini: run=C:\WINDOWS\logman.exe
O4 - HKLM\..\Run: [DCOM] C:\Documents and Settings\denis\Dati applicazioni\Microsoft\dllhost.exe
O4 - HKCU\..\Run: [Task Scheduler] C:\WINDOWS\mstinit.exe
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System32\drivers\cisvc.exe
O4 - HKCU\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice
O4 - HKUS\S-1-5-18\..\Run: [Sessmgr] C:\Documents and Settings\denis\Dati applicazioni\sessmgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\clipsrv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [cisvc] C:\Documents and Settings\denis\Dati applicazioni\cisvc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [lsm service] C:\WINDOWS\lsm.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [WinLogon] C:\WINDOWS\System\winlogon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System\logman.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Task Scheduler] C:\Documents and Settings\denis\Dati applicazioni\mstinit.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Microsoft RSVP] C:\WINDOWS\System\rsvp.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Csrss] C:\WINDOWS\System32\drivers\csrss.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spooler] C:\WINDOWS\System32\drivers\spoolsv.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MessageService] C:\WINDOWS\System32\drivers\mqtgsvc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [EseNtUtl] C:\WINDOWS\esentutl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DCOM] C:\Documents and Settings\denis\Dati applicazioni\Microsoft\dllhost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Sessmgr] C:\Documents and Settings\All Users\sessmgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHost3g] C:\WINDOWS\System32\drivers\dllhst3g.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [WinInit] C:\WINDOWS\System\wininit.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Microsoft Connection Manager] C:\Documents and Settings\All Users\cmstp.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\clipsrv.exe (User 'Default user')

Per rimuovere questa riga potrebbe servirti il programma lspfix http://www.MegaLab.it/2406/rimuove-spyw ... emi-al-lsp
O10 - Broken Internet access because of LSP provider 'c:\programmi\file comuni\pc tools\lsp\pctlsp.dll' missing

Una volta eliminati questi, aggiorna hijackthis perché hai una versione vecchia, rifai un log e vediamo di dare una ripulita al resto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » sab mar 10, 2012 11:39 am

Grazie, ho fatto tutto quello che mi hai detto, ecco il nuovo file log di Hijack:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.16.29, on 01/01/2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\logman.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\DOCUME~1\denis\DATIAP~1\MICROS~1\logman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\WINDOWS\System\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\WINDOWS\System\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\denis\DATIAP~1\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\denis\DATIAP~1\MICROS~1\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\DOCUME~1\denis\DATIAP~1\MICROS~1\esentutl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\denis\DATIAP~1\MICROS~1\logman.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spool] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\spoolsv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\System32\drivers\dllhst3g.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\mstsc.exe /waitservice (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Network Request Broker - Unknown owner - C:\Programmi\F-Secure\Common\FNRB32.EXE (file missing)
O23 - Service: fsbwsys - Unknown owner - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - C:\Programmi\F-Secure\Common\FSMA32.EXE (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Fetnd5bv (zebrsce) - Unknown owner - \\.\globalrootC:\WINDOWS\system32\svchost.exe (file missing)

--
End of file - 6037 bytes
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm


Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » sab mar 10, 2012 1:45 pm

E' meglio se passiamo all'artiglieria pesante, fai una scansione completa del tuo pc http://www.MegaLab.it/7628/kaspersky-re ... -su-cd-rom con questo cd di kaspersky, ti servirà la connessione attiva per scaricare gli aggiornamenti.
Rimuovi tutti i virus che trova, poi dopo il riavvio ripuliremo con hijackthis quello che è rimasto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » gio mar 15, 2012 12:08 am

Ciao,
ho fatto girare Il Kaspersky Rescue Disk 10 in boot, la scansione ha rivelato diversi virus e trojan,
tuttavia, facendo la scansione del solo disco fisso questa si blocca su un percorso chiamato
"QualifedAttributeValueExp.class". Fino a quel punto il Kaspersky non rileva altre anomalie comunque.
Ho fatto la scansione con Hijack successivamente, te la riporto.
Grazie.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 3.04.32, on 01/01/2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Session Manager] C:\WINDOWS\System\smss.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spool] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\spoolsv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Session Manager] C:\WINDOWS\System\smss.exe (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Network Request Broker - Unknown owner - C:\Programmi\F-Secure\Common\FNRB32.EXE (file missing)
O23 - Service: fsbwsys - Unknown owner - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - C:\Programmi\F-Secure\Common\FSMA32.EXE (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Fetnd5bv (zebrsce) - Unknown owner - \\.\globalrootC:\WINDOWS\system32\svchost.exe (file missing)

--
End of file - 4694 bytes
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » gio mar 15, 2012 4:48 am

Direi che andiamo meglio. rifai la scansione con hijackthis e selezioni le caselle di queste righe e premi fix checked per eliminarle.
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Session Manager] C:\WINDOWS\System\smss.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\MICROS~1\ieudinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Spool] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\spoolsv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Session Manager] C:\WINDOWS\System\smss.exe (User 'Default user')

Se vuoi dare anche una pulita alla lista dei servizi, giusto perché ci sono cose inutili, puoi usare uno di questi sistemi http://www.MegaLab.it/2578/ripulire-la- ... di-windows ed eliminare quelli indicati qui sotto.
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file missing)
O23 - Service: F-Secure Network Request Broker - Unknown owner - C:\Programmi\F-Secure\Common\FNRB32.EXE (file missing)
O23 - Service: fsbwsys - Unknown owner - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - Unknown owner - C:\Programmi\F-Secure\Common\FSMA32.EXE (file missing)
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE
O23 - Service: Fetnd5bv (zebrsce) - Unknown owner - \\.\globalrootC:\WINDOWS\system32\svchost.exe (file missing)

--
End of file - 4694 bytes[/memo][/quote]
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » sab mar 17, 2012 9:54 pm

Grazie, ho fatto l'ultimo fix con Hijack, inoltre ho eliminato i servizi che mi hai indicato
dal registro. Ti posto l'ultimo settaggio Hijack, se ce dell'altro...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.21.34, on 01/01/2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 3769 bytes
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » dom mar 18, 2012 5:33 am

Questo è spuntato ancora fuori. prima di cancellare la riga con hijackthis vai a controllare se trovi il file exe indicato e fallo analizzare sul sito www.virustotal.com e vediamo di cosa si tratta.
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\denis\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'Default user')
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » sab mar 24, 2012 7:24 pm

Ciao,
non son riuscito a rintracciare il file clisrv.exe, comunque
ho fatto nuovamente una scansione con Hijack e le due linee sono
sparite, forse avevo dimenticato di spuntarle....
Ti reinvio l'ultimo settaggio.
Grazie.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.27.48, on 01/01/2002
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programmi\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 3469 bytes
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » sab mar 24, 2012 7:34 pm

Adesso non si vede più niente nei log.
Il collegamento ad internet funziona?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » mar mar 27, 2012 10:28 pm

Il modem mi si connette, ma all'apertura del browser mi dà il msg
"Impossibile aprire la pagina".
E' il caso di reinstallare il modem dici o cosa altro fare?
Grazie.
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » ven mar 30, 2012 11:10 pm

Ho rifatto la scansione con l'antivirus Avira, ha trovato 1 virus e 3 trojan,
bloccando l'accesso a diversi processi di sistema (dllhost.exe, rsvp.exe, clipsrv.exe,
ecc.). Il virus è sempre il CryptXpack Gen5, i trojan sono: Sirefef Bv2,
Vundo Gen, e Rootkit Gen2. Ti copio il report scansione:



Avira AntiVir Personal
Data del file di report: martedì 1 gennaio 2002 00:07

Ricerca di 3519030 virus e programmi indesiderati.

Concesso in licenza a : Avira Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : NOME-D29F043BF0

Informazioni sulla versione:
BUILD.DAT : 9.0.0.25 21699 Bytes 18/10/2010 14:31:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:26:40
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 22:05:57
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 23:20:02
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 23:20:16
VBASE004.VDF : 7.11.21.239 2048 Bytes 01/02/2012 23:20:16
VBASE005.VDF : 7.11.21.240 2048 Bytes 01/02/2012 23:20:16
VBASE006.VDF : 7.11.21.241 2048 Bytes 01/02/2012 23:20:17
VBASE007.VDF : 7.11.21.242 2048 Bytes 01/02/2012 23:20:17
VBASE008.VDF : 7.11.21.243 2048 Bytes 01/02/2012 23:20:17
VBASE009.VDF : 7.11.21.244 2048 Bytes 01/02/2012 23:20:17
VBASE010.VDF : 7.11.21.245 2048 Bytes 01/02/2012 23:20:17
VBASE011.VDF : 7.11.21.246 2048 Bytes 01/02/2012 23:20:18
VBASE012.VDF : 7.11.21.247 2048 Bytes 01/02/2012 23:20:18
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03/02/2012 23:20:24
VBASE014.VDF : 7.11.22.56 687616 Bytes 03/02/2012 23:20:26
VBASE015.VDF : 7.11.22.92 178176 Bytes 06/02/2012 23:20:27
VBASE016.VDF : 7.11.22.154 144896 Bytes 08/02/2012 23:20:28
VBASE017.VDF : 7.11.22.220 183296 Bytes 13/02/2012 23:20:29
VBASE018.VDF : 7.11.23.34 202752 Bytes 15/02/2012 23:20:29
VBASE019.VDF : 7.11.23.98 126464 Bytes 17/02/2012 23:20:30
VBASE020.VDF : 7.11.23.150 148480 Bytes 20/02/2012 23:20:31
VBASE021.VDF : 7.11.23.224 172544 Bytes 23/02/2012 23:20:32
VBASE022.VDF : 7.11.24.52 219648 Bytes 28/02/2012 21:01:41
VBASE023.VDF : 7.11.24.152 165888 Bytes 05/03/2012 13:54:32
VBASE024.VDF : 7.11.24.153 2048 Bytes 05/03/2012 13:54:34
VBASE025.VDF : 7.11.24.154 2048 Bytes 05/03/2012 13:54:35
VBASE026.VDF : 7.11.24.155 2048 Bytes 05/03/2012 13:54:35
VBASE027.VDF : 7.11.24.156 2048 Bytes 05/03/2012 13:54:35
VBASE028.VDF : 7.11.24.157 2048 Bytes 05/03/2012 13:54:35
VBASE029.VDF : 7.11.24.158 2048 Bytes 05/03/2012 13:54:35
VBASE030.VDF : 7.11.24.159 2048 Bytes 05/03/2012 13:54:35
VBASE031.VDF : 7.11.24.160 10752 Bytes 05/03/2012 13:54:36
Motore : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 23/02/2012 23:20:44
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 23/02/2012 23:20:44
AESCN.DLL : 8.1.8.2 131444 Bytes 23/02/2012 23:20:43
AESBX.DLL : 8.2.4.5 434549 Bytes 23/02/2012 23:20:45
AERDL.DLL : 8.1.9.15 639348 Bytes 08/09/2012 18:28:32
AEPACK.DLL : 8.2.16.3 799094 Bytes 23/02/2012 23:20:43
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 23/02/2012 23:20:42
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 23/02/2012 23:20:41
AEHELP.DLL : 8.1.19.0 254327 Bytes 23/02/2012 23:20:36
AEGEN.DLL : 8.1.5.21 409971 Bytes 23/02/2012 23:20:35
AEEXP.DLL : 8.1.0.23 70005 Bytes 23/02/2012 23:20:45
AEEMU.DLL : 8.1.3.0 393589 Bytes 25/11/2010 13:51:02
AECORE.DLL : 8.1.25.4 201079 Bytes 23/02/2012 23:20:35
AEBB.DLL : 8.1.1.0 53618 Bytes 14/09/2010 22:27:11
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:14:06
AVREP.DLL : 10.0.0.9 174120 Bytes 06/03/2011 12:22:10
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 13:11:50
RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 07:16:42

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: martedì 1 gennaio 2002 00:07

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '59082' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'dragdiag.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wdfmgr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TomTomHOMEService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'afcdpsrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ASCService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'schedul2.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
23 processi scansionati con '23' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 44 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\' <424312>
C:\hiberfil.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806380.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806381.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806382.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806383.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806384.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806385.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806386.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806387.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806388.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806389.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806390.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806391.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806392.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806393.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806394.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806396.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806397.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806398.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806399.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806400.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806401.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806402.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806403.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806404.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806405.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806406.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806407.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806408.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806409.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806410.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806411.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806412.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806413.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806414.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806415.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806416.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806417.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806418.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806419.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806420.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806421.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806422.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806423.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Sirefef.BV.2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806424.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Vundo.Gen
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806425.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Vundo.Gen
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806426.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806427.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806428.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806429.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806430.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0807435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0808435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0809435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0810435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0811435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0812435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813444.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813451.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813461.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813471.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813489.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813506.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813515.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813542.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0814542.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0814557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0815557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0816557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817565.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817568.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817571.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2

Avvio della disinfezione:
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806380.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c690295.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806381.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c690296.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806382.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3d1cd0cf.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806383.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3d11eb27.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806384.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c690297.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806385.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38ff1830.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806386.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38fe20e8.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806387.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38f128a0.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806388.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38f03098.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806389.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c690298.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806390.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c690299.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806391.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38f54bc2.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806392.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029a.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806393.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38f75a73.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806394.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029b.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806395.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c96ae4.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806396.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029c.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806397.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38cb7a95.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806398.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38ca7d4d.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806399.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38cd8505.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806400.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38cc8dfd.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806401.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029d.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806402.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38ce9c6e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806403.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c1a426.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806404.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c0ac1e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806405.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c3b4d6.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806406.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c2bc8e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806407.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c5c746.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806408.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c4cf3e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806409.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806410.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38c6dfaf.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806411.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c69029f.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806412.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38d8ee60.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806413.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38dbf628.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806414.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a0.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806415.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38dc06b9.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806416.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38df0941.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806417.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38de1109.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806418.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a1.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806419.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38d0219a.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806420.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a2.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806421.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38d2306b.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806422.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a3.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806423.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Sirefef.BV.2
[NOTA] Il file è stato spostato in quarantena con il nome '38d440fc.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806424.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Vundo.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '38d74884.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806425.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Vundo.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '38d6534c.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806426.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a4.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806427.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38a863dd.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806428.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38ab6be5.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806429.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38aa73ad.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806430.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen5
[NOTA] Il file è stato spostato in quarantena con il nome '38ad7a75.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0806435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38ac823d.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0807435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38af8ac5.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0808435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38ae928d.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0809435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a5.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0810435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a09d1e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0811435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a3a526.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0812435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a2adee.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813435.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a5b5b6.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813444.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a4bc7e.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813451.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38a7c406.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813461.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a6.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813471.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b9d497.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813489.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b8df5f.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813506.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38bc2087.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813515.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38bf283f.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0813542.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38be30c7.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0814542.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b1388f.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0814557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b04357.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0815557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b34b1f.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0816557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b25327.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817557.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b55bef.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817565.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '3c6902a7.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817568.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b76a70.qua'!
C:\System Volume Information\_restore{C09F5A25-0B67-47C9-A276-70227379BF52}\RP1208\A0817571.sys
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Rootkit.Gen2
[NOTA] Il file è stato spostato in quarantena con il nome '38b67208.qua'!


Fine della scansione: martedì 1 gennaio 2002 01:27
Tempo impiegato: 1:16:53 Ora(e)

La scansione è stata completamente eseguita.

7580 Directory scansionate
298607 I file sono stati scansionati
75 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
75 File spostati in quarantena
0 File rinominati
2 Impossibile scansionare i file
298530 File non infetti
7468 Archivi scansionati
2 Avvisi
77 Note
59082 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda crazy.cat » sab mar 31, 2012 7:00 am

Cosa vuoi dire con queszta frase?
rasalgethi ha scritto:bloccando l'accesso a diversi processi di sistema (dllhost.exe, rsvp.exe, clipsrv.exe,
ecc.).

Chi ti ha bloccato i file?

I virus erano tutti nel ripristino della configurazione, erano già innocui e sono stati tutti rimossi.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » dom apr 01, 2012 9:47 pm

Volevo solo dire che mi è parso strano che l'antivirus abbia nuovamente rilevato
le infezioni. Il programma segnala il messaggio "bloccato accesso"
in corrispondenza di quei ed altri file, in totale ho riscontrato 75 allarmi.
Pensavo quindi che questi file non possano essere eseguiti essendo infettati.
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda enigmista63 » gio apr 05, 2012 11:30 pm

Ciao prima di procedere con scansioni ed eliminazioni devi disattivare il ripristino di configurazione altrimenti ad ogni riavvio ti ritroverai i virus di nuovo nel pc.
Avatar utente
enigmista63
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab ott 01, 2011 5:47 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » sab apr 07, 2012 1:01 pm

Ciao,
in effetti la prima volta avevo fatto la scansione senza disattivare la configurazione
di sistema, poi l'ho rifatta ed ora non ci sono più segnalazioni di virus o trojan.
Il problema è che non riesco ancora a connettermi ad internet.
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda enigmista63 » sab apr 07, 2012 5:11 pm

Ciao la scansione devi farla in modalità provvisoria, poi controlla che la scheda di rete sia attiva vai in star, con il tasto dx su risorse del computer,proprietà gestione periferiche e controlla alla voce scheda di rete se sono attive o disattive, prova anche a spegnere o resettare il modem od il router non so cosa usi.
Avatar utente
enigmista63
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: sab ott 01, 2011 5:47 pm

Re: Trojan Crypt.XPACK.Gen5 e Java.OpenConnection.AQ

Messaggioda rasalgethi » dom apr 15, 2012 10:08 pm

Ciao,
purtroppo le ho provate tutte (re-instalalazione del modem, della scheda di rete, ulteriori
pulizie anche in modalità provvisoria) ma il problema dell'apertura delle pagine internet
permane. Il modem effettua il collegamento ma non visualizzo appunto alcuna pagina.
Che altro posso fare? Oltre che formattare?
Grazie
Avatar utente
rasalgethi
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: mer mar 07, 2012 10:58 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising